关键信息基础设施 – 沃通CA官网 https://wd.wosign.com Thu, 22 Feb 2024 07:44:42 +0000 zh-CN hourly 1 https://wordpress.org/?v=6.5.2 自然资源数字化发展纲领性文件发布【要求健全密码应用机制,推动商用密码在关键信息基础设施和重要信息系统中的全面应用】 /article/zixun/1938.html /article/zixun/1938.html#respond Thu, 22 Feb 2024 07:44:42 +0000 /?p=1938

2024年2月5日,自然资源部印发《自然资源数字化治理能力提升总体方案》的通知(自然资发〔2024〕33号),要求健全密码应用保障体系,构建以密码技术为核心的自然资源数据安全防护体系,统筹国土、海洋、测绘、地调等已建商用密码平台,打造部级密码平台,利用商用密码技术和产品,为关键信息基础设施和重要信息系统提供统一的密码技术支撑。

]]>
/article/zixun/1938.html/feed 0
《铁路关键信息基础设施安全保护管理办法》2024年2月1日施行,沃通CA以国密证书助力关保合规 /article/zixun/1917.html /article/zixun/1917.html#respond Fri, 02 Feb 2024 09:15:26 +0000 /?p=1917

交通运输部发布的《铁路关键信息基础设施安全保护管理办法》(以下简称《办法》),自2024年2月1日起施行。此前,交通运输部已发布《公路水路关键信息基础设施安全保护管理办法》并正式施行。此次《铁路关键信息基础设施安全保护管理办法》的施行,完善了交通运输领域关键信息基础设施安全保护的管理体系,为交通运输领域关保标准的实施落地提供指导。

制定必要性

关键信息基础设施是经济社会运行的神经中枢,是网络安全的重中之重。近年来,基于《网络安全法》,我国陆续出台多部关基保护的法律法规,进一步细化落实关基保护各项政策和要求。

《关保条例》:2021年8月国务院公布《关键信息基础设施安全保护条例》(以下简称《关保条例》),于2021年9月1日正式施行。作为《网络安全法》重要配套法规,《关保条例》明确关键信息基础设施安全保护的具体要求和措施,进一步推动了各领域全面开展关键信息基础设施安全保障工作。

《关保要求》:2022年11月为更加完善关键基础设施保护体系,全国信息安全标准委员会发布了《信息安全技术 关键信息基础设施安全保护要求》(以下简称《关保要求》),并于 2023年5月1日正式施行。《关保要求》旨在解决关键基础设施的安全问题,是继《关保条例》后,我国首个发布的关键信息基础设施安全保护标准,对我国关键信息基础设施安全保护有着极为重要的指导意义。

铁路关键信息基础设施,是指在铁路领域,一旦遭到破坏、丧失功能或者数据泄露,可能严重危害国家安全、国计民生和公共利益的重要网络设施、信息系统等。《铁路关键信息基础设施安全保护管理办法》在关基保护的法规条例基础上,进一步为细化落实《关保条例》规定提供全面保障。

主要内容

《办法》共6章30条,包括总则、铁路关键信息基础设施认定、运营者责任和义务、保障和监督、法律责任、附则。主要内容包括:

(一)明确铁路关键信息基础设施管理体制。一是明确国家铁路局是负责铁路领域关键信息基础设施安全保护工作的部门,在职责范围内负责全国铁路关键信息基础设施安全保护和监督管理工作;地区铁路监督管理局开展本辖区铁路关键信息基础设施的安全保护和监督管理工作。二是明确国家铁路局作为铁路关键信息基础设施认定主体,负责制定认定规则、组织认定工作,并规定了具体认定程序。

(二)压实运营者主体责任。建立铁路关键信息基础设施全过程保护制度,要求安全保护措施应当与关键信息基础设施同步规划、同步建设、同步使用,明确规定了运营者在机构设置、人员配备、经费保障、产品和服务采购、数据保护、安全检测和风险评估以及数据保护、密码应用、保密管理等方面的责任和义务。

(三)加强对铁路关键信息基础设施的监督管理和保障。一是要求国家铁路局制定安全规划,明确保护目标、基本要求、工作任务和具体措施。二是从监测预警能力建设、应急预案制定演练、安全防范和安全事件报告等方面,对铁路监管部门和运营者责任和义务予以明确。三是通过定期开展检查检测、实施行政处罚和政务处分等方式落实监管责任。

其他关保相关政策

根据《网络安全法》第二十五条:国家对提供公共通信、广播电视传输等服务的基础信息网络,能源、交通、水利、金融等重要行业和供电、供水、供气、医疗卫生、社会保障等公共服务领域的重要信息系统,军事网络,设区的市级以上国家机关等政务网络,用户数量众多的网络服务提供者所有或者管理的网络和系统(以下称关键信息基础设施),实行重点保护。

根据《关键信息基础设施安全保护条例》第六条:运营者依照本条例和有关法律、行政法规的规定以及国家标准的强制性要求,在网络安全等级保护的基础上,采取技术保护措施和其他必要措施,应对网络安全事件,防范网络攻击和违法犯罪活动,保障关键信息基础设施安全稳定运行,维护数据的完整性、保密性和可用性。

根据《密码法》第二十七条:法律、行政法规和国家有关规定要求使用商用密码进行保护的关键信息基础设施,其运营者应当使用商用密码进行保护,自行或者委托商用密码检测机构开展商用密码应用安全性评估。

根据《商用密码应用安全性评估管理办法》第九条:重要网络与信息系统建成运行后,其运营者应当自行或者委托商用密码检测机构每年至少开展一次商用密码应用安全性评估,确保商用密码保障系统正确有效运行。

沃通国密数字证书及商用密码产品,助力关保合规!

沃通CA以国密证书产品为基础,结合PKI服务设施及商用密码应用方案,在安全通信设计、商用密码应用合规等方面,为关键信息基础设施安全建设提供符合网络安全等级保护要求以及商用密码应用合规要求的产品方案。

满足等保三级安全通信设计要求

等保三级及以上系统要求采用密码技术确保数据传输完整性保护、数据传输保密性保护、通信网络可信接入保护等。

沃通提供国密SSL证书、国密客户端证书等国密数字证书产品,支持SM2/SM3/SM4等国产密码算法和国密安全协议,通过SSL/TLS协议的加密认证机制,基于国密算法建立安全的网络连接,开启双向认证校验通信方的真实身份,实现网络通信传输的保密性、完整性,确保通信主体身份可信,帮助关键信息基础设施信息系统,满足等保三级及以上的安全通信设计要求。

助力关键信息基础设施密码应用合规

《关保标准》提出每年评估一次商用密码应用安全情况。网络和通信安全层面主要测评对象是针对跨网络访问的通信信道,涉及不同网络类型和通信主体在建立通信通道时的HTTPS协议、SSL VPN协议、IPSec协议等通信协议的密码应用情况。沃通国密SSL证书为关键信息基础设施实现基于国密算法的HTTPS协议、SSL VPN协议加密连接,保障通信信道的数据传输安全,帮助关键信息基础设施信息系统,实现网络和通信安全层面的密码应用技术要求。

沃通CA是依法设立的第三方电子认证服务机构及网络安全服务提供商,获得国密局颁发《电子认证使用密码许可证》、工信部颁发《电子认证服务许可证》,获批电子政务电子认证服务资质,具备合规资质和专业服务能力,将持续为关键信息基础设施安全保护提供优秀的解决方案和专业的产品及服务!

]]>
/article/zixun/1917.html/feed 0
电子政务外网中关键信息基础设施安全保护机制研究 /article/zixun/1061.html /article/zixun/1061.html#respond Tue, 28 Nov 2023 06:13:08 +0000 /?p=1061 文 | 国家信息中心 罗海宁

近年来,全球关键信息基础设施的攻击事件急剧增加,安全威胁日益严峻。我国作为面临网络威胁最严重的国家之一,关键信息基础设施的安全对于国家发展大局,对维护国家安全、经济发展和社会稳定具有重要意义。党的十八大以来,以习近平同志为核心的党中央高度重视网络安全和信息化工作,为贯彻落实习近平总书记关于“筑牢网络安全防线,提高网络安全保障能力,强化关键信息基础设施防护”的重要指示精神,进一步推动关键信息基础设施安全保障体系的建设,《关键信息基础设施安全保护条例》(以下简称《条例》)于 2021 年 9 月 1 日正式实施。作为《网络安全法》的重要配套法规,《条例》完善了关键信息基础设施的认定方法、明确了运营者的责任义务、提出了保障和促进措施,规定了法律责任。在《条例》实施的两年中,关键信息基础设施保护制度体系逐步完善,推动各行业、各领域按照要求全面开展和落实安全保护工作。

在电子政务领域,《条例》为推动政务信息化建设提供了有效的安全保障,为数字政府在线履职、服务于民提供了有力支撑。国家电子政务外网作为电子政务领域的重要信息基础设施,在承载重要业务、各级政府间协同以及为人民群众提供在线服务等方面发挥着重要作用,其网络安全和数据安全是关键信息基础设施保护工作的重中之重。为强化关基信息基础设施的安全保护,国家电子政务外网采取了多种措施,包括制定规章制度和标准规范、推广技术应用以及进行攻防演练等。

一、国家电子政务外网中关键信息基础设施安全保护技术机制

基于《条例》中的保障和促进措施,结合《信息安全技术 关键信息基础设施安全保护要求》,国家电子政务外网遵循“以关键业务为核心的整体防护,以风险管理为导向的动态防护,以信息共享为基础的协同联防”三项保护原则,开展关键信息基础设施网络安全和数据安全能力建设。在安全自查、监测预警、应急处置等方面落实保护工作,构建全方位的数字政府安全保障体系。

(一)网络安全能力建设

一是严格落实安全自查工作。每年开展关键信息基础设施安全保护自查工作,全面摸清网络安全保护状况,检测排查并督促整改网络安全风险隐患、漏洞和突出问题,防范发生网络信息安全事故,确保网络安全平稳运行。二是推进监测预警平台建设。加强国家电子政务外网网络信息安全通报预警力量建设,推进主管部门和安全厂商之间的网络安全威胁情报共享协同,深度挖掘分析,及时收集、汇总、分析和共享各方网络安全信息,建立具有政务外网特色的威胁情报信息库。在政务外网网络安全监测工作的基础上,推进安全监测预警平台的建设,逐步具备基础网络监测、政务云监测、政务应用监测以及政务数据监测能力,并提供 7×24 小时的安全监测服务。三是完善事件应急处置机制。制定并完善针对关键信息基础设施网络安全的应急处置预案,定期进行预案的研讨及更新修订,不断提高风险防范和应急处置能力。结合自动化安全事件处置平台,建立人机共治的机制,大大提升了处置效率。四是定期开展实战化攻防演练。通过定期开展实战化攻防演练,检验关键信息基础设施的安全防护能力,提升网络安全应急处置队伍的应对能力。在实践中不断完善安全应急处置流程和工作机制,进一步提高安全事件应急处置的综合能力水平,促进形成常态化的网络安全保障措施。五是持续强化央地协同联动能力。国家电子政务外网积极推进《条例》的贯彻实施,协同各省市加快推进覆盖全网、整体联动、准确高效、功能完备的国家电子政务外网安全体系建设。为各级政务外网安全管理部门搭建跨地域、跨层级、跨系统的安全事件协同处置通道,进一步提升全网监测发现、分析研判、预警通报、信息共享和协同处置能力,切实保障政务外网关键信息基础设施的网络安全、业务安全和数据安全。

(二)数据安全能力建设

国家电子政务外网围绕数据安全技术方面要求,针对正在建设和运行的关键信息基础设施,结合实际工作和经验总结,制定了多项规章制度和标准规范,形成了多项政务数据安全保护措施,用于指导各环节的政务数据安全保护工作。

1. 建立政务数据安全规章制度与标准规范

通过制定国家电子政务外网数据安全和数据运维管理制度,提供政务数据分类分级的方法指导和安全保护技术要求,确保了关键信息基础设施的稳定运行和数据的安全可靠性。标准规范提供了政务数据安全技术框架,规定了政务数据准备、交换和使用阶段的安全技术要求,以及相关信息基础设施的安全技术要求,指导解决政务信息共享交换中可能出现的数据泄露、数据滥用等问题,增强政务信息共享交换的数据安全保障能力。

2. 制定落实政务数据安全保护措施

开展重要数据分类分级工作。针对关键信息基础设施,根据政务领域数据分类分级、重要数据和核心数据识别认定、数据分级防护等标准规范,制定形成数据分类分级规则,

开展数据分类分级管理工作。通过人工和技术工具的结合,识别数据资源并梳理形成数据资产目录,明确业务数据类型和数据级别。开展重要数据安全保护。主要采取六个方面措施:一是针对重要数据字段及个人敏感信息,采用基于国密的密码技术,对数据交换通道和存储进行加密,确保数据传输和存储的安全性。二是严格控制数据访问,对数据服务器及应用系统进行点对点的精细化访问控制,防止未经授权的访问。三是加强数据库的操作审计,以防止数据非法导入和导出。四是加强人员管理,采用数字证书进行操作身份认证,并按照最小授权原则开放权限。五是严格控制远程管理的开通权限和时限,通过限定访问端口和记录操作行为来降低远程管理风险。六是探索建立数据标识和分类分级保护平台,利用密码技术实现对共享交换数据标识、管控和溯源,确保数据交换的真实性、保密性和完整性,实现数据流转过程的“可视化”。

二、国家电子政务外网中关键信息基础设施安全保护管理机制

《条例》明确了关键信息基础设施运营者和安全管理机构的责任与义务,国家电子政务外网按照相关要求,制定关键信息基础设施安全保护管理办法,明确责任主体、组织结构和责任分工,坚持“谁运营、谁负责”原则,履行好关键信息基础设施运营者的主体责任,确保安全保护工作有序开展,切实提升关键信息基础设施安全保障水平。此外,国家电子政务外网在现有分工的基础上,设立专门的关键信息基础设施安全保护管理机构,负责统筹安全管理工作,建立统筹协调、分工负责的管理机制,并履行如下职责。

一是建立健全关键信息基础设施安全管理制度。国家电子政务外网推动关键信息基础设施安全保护管理工作方案的制定,确保安全保护措施与关键信息基础设施的规划、建设和使用同步进行。同时,实行一把手负责制,关键信息基础设施运营者的主要负责人将负总责,领导关键信息基础设施的安全保护、安全能力建设和重大网络安全事件处置工作,并组织研究解决重大网络安全问题。此外,管理制度还明确了管理责任部门、认定规则、安全规划、安全标准、评价考核等一系列合规要求。

二是组织制定政务数据分类分级指南,完善政务数据分类分级安全工作规则和管理制度。规范政务数据安全使用原则,明确政务数据安全负责人和具体工作要求,落实相关责任。建立数据资产目录、摸清家底,明确各项资产的安全管理负责人,围绕政务数据全生命周期实施数据分类分级管理,根据业务应用属性对政务数据进行分类分级保护,组织专业团队开展数据安全监测,着重关注重要数据的界定、识别,盯紧重要数据安全防护,严防重要数据泄露。

三是持续推进商用密码在关键信息基础设施安全保护中的应用。制定商用密码应用方案,推进国产商用密码在政务网络、政务云、各业务系统、数据共享体系方面的规模化部署和替代,落实对正在运行的关键信息基础设施每年至少一次的商用密码应用安全性评估,提升政务外网商用密码一体化支撑能力。

四是统筹关键信息基础设施相关安全测评与评估工作。运营者和测评机构需要对关键信息基础设施和政务数据开展系统性安全监测、风险评估工作,重要数据每年评估一次,对发现的安全问题及漏洞及时整改,并按照政务外网保护工作部门要求报送情况,合力提升关键信息基础设施综合安全防护水平。

五是构建供应链安全管理制度,保障关键信息基础设施网络安全和数据安全。遵循供应链安全相关法律法规及标准规范,建立供应链管理和审核制度,从产品和服务以及数据处理活动安全性、可能带来的网络安全风险等多个角度,加强对供应商审查和安全评估。严格落实测评认证,定期开展系统渗透测试和漏洞扫描,及时整改发现的安全问题,降低供应链安全风险。

六是加快推动信息领域新技术在关键信息基础设施安全保护上的应用。充分利用以 5G、大数据、人工智能等为代表的新技术、新手段,加强管理和技术创新,依托信息化手段构建具备联合预警、协同防御体系的立体化关键信息基础设施安全保护平台,强化数据信息分析处理,加强关键信息基础设施全流程管控,提升网络安全综合保护能力和效能。

七是搭建演习平台,定期开展攻防演练。建立监测预警、信息通报和应急处置机制,制定应急管理制度和安全事件应急预案。为各级政务外网安全管理部门搭建演练环境,定期开展应急演练,查找关键信息基础设施安全保护工作中的短板和不足,针对发现的问题,制定切实可行的整改措施,提升各级政务外网安全事件处置能力。

八是定期组织开展安全意识教育和安全操作培训,提升关键信息基础设施安全保障能力。培训内容包括但不限于国家网络与信息安全相关法律法规、网络与信息安全意识、政务数据安全管理规定、安全知识与技术技能等,培训形成记录并对培训效果进行评价。

三、未来持续加强国家电子政务外网中关键信息基础设施安全保护机制的思路

面临全球复杂严峻的网络安全局势,关键信息基础设施的安全防护需要不断完善机制,以应对新问题和新挑战。国家电子政务外网将进一步推进关键信息基础设施安全保护工作,筑牢网络安全防线。

一是健全完善规章制度与标准规范体系,优化关键信息基础设施安全保护机制,不断适应数字化发展的新需求。围绕政务外网关键信息基础设施共性安全需求和基线安全要求,完善规章制度提升政务外网网络安全和数据安全保障能力,健全标准规范体系为我国关键信息基础设施安全保护工作实践提供技术支撑和方法指引。

二是持续提升各级政务外网关键信息基础设施协同处置能力。坚持底线思维和极限思维,以实战化演练为契机,模拟关键信息基础设施遭到大规模、高烈度的攻击,检验各级政务外网信息共享的能力和协同处置的效率。

三是加强网络安全人才队伍培养。网络安全防护能力和关键信息基础设施安全保护能力的提升需要专业人才队伍的支撑。应加快启动网络安全人才培训,改善专业技术人才队伍缺乏的局面,提升网络安全专业化能力,为数字政府建设提供坚实的安全保障。

四、结 语

关键信息基础设施作为重要的战略资源,在建设数字中国的过程中发挥着基础性、全局性的支撑作用,国家电子政务外网将全面深入践行关键信息基础设施安全保护,积极推进安全保护机制的研究与落地,保护网络系统和信息资源安全,为数字中国建设保驾护航。

(本文刊登于《中国信息安全》杂志2023年第9期)

声明:本文来自中国信息安全,版权归作者所有。文章内容仅代表作者独立观点,不代表沃通CA立场,转载目的在于传递更多信息。如有侵权,请联系删除。

]]>
/article/zixun/1061.html/feed 0
聚焦乌镇 | 周鸿祎乌镇峰会全体会议发言:安全应当发展为新型数字基础设施 /article/zixun/826.html /article/zixun/826.html#respond Thu, 09 Nov 2023 03:12:21 +0000 /?p=826 “下一个十年,安全行业要自我突破和升级,把安全发展成为新型数字基础设施和公共服务平台,推动数字安全的普惠。”11月8日,360集团创始人周鸿祎在2023年世界互联网大会乌镇峰会全体会议上发言表示,360把服务国家的能力云化,依托新一代安全产品360安全云为城市和企业提供SaaS服务,为产业数字化高质量发展筑牢安全屏障。目前,360安全云行业标杆级客户已突破1000家。

周鸿祎称,过去十年是安全行业砥砺探索的十年。在统筹发展与安全的国家总体安全观指导下,安全行业增长了不止10倍,实现了核心技术和产业规模的双突破。作为行业龙头企业,360坚持上科技高山,成为国家战略科技力量的重要组成部分。不仅攻克了“看不见”国家级攻击的卡脖子问题,累计捕获国家级黑客组织51个,抵御攻击4000余次,同时帮助企业每天拦截勒索攻击超过100万次、挖矿攻击1000万次。这套服务国家的方案为安全行业提出了新的方法论和技术路线,解决了安全的世界性难题,被称为“中国方案”。

随着数实融合进程加速,推进产业数字化和新型工业化已成为国家战略重心。周鸿祎表示,“安全行业也要突出重点抓关键,实现自我突破、自我更新和自我升级,以‘上科技高山’的成果进一步‘下数字化蓝海’。”他认为,下一个十年,安全行业要把安全发展成数字化的新型基础设施和公共服务平台,推动数字安全的普惠。

为此,360在“中国方案”基础上打磨了一套技术方案,把服务国家的能力,包括360独有的全网数据、情报、知识、专家和运营体系全部云化,正式推出了新一代安全产品360安全云,通过SaaS服务体系开放给城市和企业使用。

目前,360正在与各个城市合作,将安全打造成城市新型数字基础设施,并基于此搭建安全公共服务平台,把全网安全大数据、安全大模型、运营平台、高级专家等“360专长”变成公共服务,像水和电一样输送到城市的多元数字化场景下。同时,360依托360安全云提供安全托管运营服务,真正为企业数字化转型实现降本增效,破解企业花大钱买硬件、请专家,花时间重部署等传统安全困境。周鸿祎称,“360还将拿出补贴,为中小企业免费提供安全托管服务,让中小企业数字化不再有顾虑,推动数字化的‘共同富裕’。”

“今天,我们把软件即服务扩展为‘安全即服务’,把安全从卖‘盒子’一遍遍从客户兜里掏钱,变为基础设施和公共服务平台,让城市和企业省钱省力,看到实实在在的安全效果。”周鸿祎表示,“国家需要什么,我们就做什么;行业哪里薄弱,我们就发展哪里;企业痛在哪里,我们就解决哪里。”下一个十年,360将更加深入地参与国家产业数字化战略,为网络强国和数字中国建设保驾护航。

]]>
/article/zixun/826.html/feed 0
一览2023年10月1日后实施的信息安全类国家标准 /article/policy/674.html /article/policy/674.html#respond Mon, 16 Oct 2023 05:58:19 +0000 /?p=674 2023年10月1日起,一批信息安全类国家标准正式实施。

01:GB/T 42460-2023《信息安全技术 个人信息去标识化效果评估指南》

02:GB/T 42447-2023 《信息安全技术 电信领域数据安全指南》

03:GB/T 42453-2023 《信息安全技术 网络安全态势感知通用技术要求》

04:GB/T 42461-2023《信息安全技术 网络安全服务成本度量指南》

05:GB/T 33134-2023《信息安全技术 公共域名服务系统安全要求》

06:GB/T 42446-2023《信息安全技术 网络安全从业人员能力基本要求》

07:GB/T 21053-2023 《信息安全技术 公钥基础设施 PKI系统安全技术要求》

08:GB/T 32922-2023 《信息安全技术 IPSec VPN安全接入基本要求与实施指南》

]]>
/article/policy/674.html/feed 0
大量关键基础设施设备受到网络攻击 /article/threat/640.html /article/threat/640.html#respond Sun, 08 Oct 2023 07:43:46 +0000 /?p=640 全球至少有 100,000 个工业控制系统 (ICS) 暴露在公共互联网上,控制着电网、供水系统和建筑管理系统 (BMS) 等一系列关键运营技术 (OT)。虽然这是一个很大的数字,但研究人员指出,量化这种暴露的真正网络风险意味着检查设备使用的协议。

在最近的一项分析中,来自网络风险障碍者Bitsight的研究人员通过清点使用前10种最流行和广泛使用的ICS协议(包括Modbus,KNX,BACnet,Niagara Fox等)的可访问设备,达到了100,000个数字。

他们确定,暴露的ICS足迹代表了网络攻击者的成熟目标,因此对至少96个国家的人身安全构成全球风险。风险不是理论上的,因为恶意软件旨在破坏电网和像殖民地管道黑客事件这样的事件。

“这些ICS设备用于控制我们社会中的大部分物理基础设施,从交通信号灯到疫苗生产,”该公司最近的一份报告称。“这些系统的中断可能导致严重的业务中断、对人类安全的威胁、数据和知识产权 (IP) 泄露、国家安全威胁等。

Bitsight的首席安全研究员Pedro Umbelino指出,这种类型的设备可以通过互联网直接访问的原因很少,因此风险水平似乎是一个可解决的问题。

“我们确定为面向互联网的系统可能是由于配置错误或忽视最佳实践,”他解释道。“通常,攻击者会扫描面向互联网的系统,然后收集信息以确定该系统是否存在漏洞。因此,如果系统位于防火墙后面或不面向互联网,那么大部分利用风险就会得到缓解。

无标准协议:ICS 通信指南风险评估

了解 ICS 环境中的风险不仅仅是确定可从 Internet 访问的设备数量。具体来说,使用不同的协议可能是确定网络攻击者可能在哪里探测弱点的重要线索。

“我们探索的一些协议缺乏安全措施,比如基本身份验证,使设备几乎对任何人开放,”他说。

他补充说,其他协议具有可以帮助攻击者执行目标侦察的属性。“其他协议非常冗长,清楚地表明了设备的品牌、型号和版本,极大地简化了攻击者搜索现成漏洞的任务,”Umbelino 解释说。“采用不同的协议表明,组织暴露的表面存在不同的设备。这意味着不同的供应商,不同的供应链,[和]不同的软件运行。

组织还应该意识到,按协议定制攻击也有助于地理定位。Bitsight指出,使用CODESYS,KNX,Moxa Nport和S7的暴露工业控制系统主要集中在欧盟(EU)。同时,使用ATG和BACnet的暴露系统主要位于美国。另一方面,Modbus和Niagara Fox在全球范围内开展业务。

Umbelino说,结论是拥有ICS的组织可以盘点其协议使用情况,并将其用作识别风险并告知其OT / ICS安全策略的变量。例如,重新配置整个关键基础设施环境以消除面向互联网的点可能并不总是可行的,因此知道首先关注哪里可能是非常宝贵的。

虽然Bitsight的顶线调查结果应该为各地的关键基础设施利益相关者敲响警钟,但值得注意的是,ICS暴露水平实际上随着时间的推移而下降,即使在转向“智能”OT环境和更多数字化的情况下也是如此。2019年,研究参数范围内的暴露ICS设备数量接近140,000。

“像CISA的’保护工业控制系统:统一倡议’这样的举措,以及安全界围绕ICS安全主题进行的一般性讨论,可能有助于降低风险,”Umbelino假设,工业4.0带来了新技术,但也带来了与它们交互的其他方式(例如,考虑云环境,专用网络和其他难以访问的环境)和更成熟的安全程序。

如何提高ICS的安全性

从实际的角度来看,ICS环境的所有者可以通过采取一些常识性步骤来支持他们的安全性:

识别组织和/或第三方业务合作伙伴部署的任何ICS,并及时评估这些系统的安全性;

从公共互联网中删除任何 ICS;

采用防火墙等保护措施来防止未经授权的访问;

并承认适用于OT的独特控制需求,包括ICS,而不仅仅是将传统的IT风险模型应用于基础架构(即需要停机才能进行修补)。

“简而言之,根据经验:减少暴露,”Umbelino说。工业控制系统不属于公共互联网。使用防火墙、配置访问控制,利用虚拟专用网络或任何其他的机制阻止设备被广泛访问。

]]>
/article/threat/640.html/feed 0